1. SƠ LƯỢC VỀ PASSWORD
Password là một chuỗi tổ hợp các
ký tự có độ dài giới hạn, được sử dụng để xác thực quyền truy cập vào hệ thống
kỹ thuật số.
Dù hiện tại thế giới có rất
nhiều phương thức xác thực mới, như sinh trắc học, chữ ký số,...tuy nhiên
password vẫn là một thứ không thể thay thế ở nhiều hệ thống, hệ điều hành,...
hay các giao thức truy nhập, bởi nó đảm bảo được 2 điều:
1. Bí mật: Chỉ một hoặc rất ít người
biết nội dung (tổ hợp ký tự) của password được sử dụng.
2. Bảo mật: Trên lý thuyết, mọi
password đều có thể bị crack. Tuy nhiên để làm được điều đó phải tốn nhiều công
sức, đôi khi là cả may mắn, và đôi khi là không thể.
Những
phương thức "mới" như vân tay, nhận diện khuôn mặt,... có thể bị làm
giả, copy và bị qua mặt. Đơn giản như khi chúng ta ngủ, có người lấy ngón tay
chúng ta để "by pass" chính điện thoại của chúng ta. Hay phức tạp hơn
là dấu vân tay bị copy và sử dụng vào mục đích xấu. Hay phức tạp hơn nữa là
Face ID của Apple bị một chiếc mặt nạ do BKAV làm giả đánh lừa.
Những ví dụ trên đều nói lên sự quan trọng và
tính không thể thay thế hoàn toàn của password.
II. PASSWORD ATTACKS
Như vậy, password vẫn được sử dụng rất
nhiều. Song song đó, khao khát để phá vỡ tính Bí mật và Bảo mật của password từ
các hacker ngày một tăng, bởi khi có được password đúng, hacker có toàn quyền
với các tài nguyên/dịch vụ của người dùng được xác thực bởi password đó. Và
người dùng hiện nay thường dùng chung một password cho nhiều dịch vụ khác nhau.
Các
kỹ thuật tấn công password được gọi với nhiều cái tên khác nhau tùy vào các kỹ
thuật và cách thức tiếp cận khác nhau. Dưới đây là các kỹ thuật phổ biến:
1. Dictionary attack: Một kiểu tấn
công lợi dụng thực tế rằng mọi người có xu hướng sử dụng các từ phổ biến và
password ngắn, cũng như có liên quan tới thông tin cá nhân, gia đình... Hay những
công ty, tổ chức thường đặt password theo một format xác định. Từ đó chúng tạo
ra một từ điển password để tăng tỉ lệ tìm ra password đúng.
Sử
dụng dictionary attack là hình thức tấn công bằng cách thử qua nhiều mật khẩu
tiềm năng để tìm ra mật khẩu đúng. Danh sách các mật khẩu tiềm năng được lấy
trong từ điển và có thể liên quan đến tên người dùng, sinh nhật, sở thích...
hay các đơn giản là các từ phổ biến như "password"...
Tất
nhiên, điều này không được làm thủ công. Một chương trình máy tính có thể chạy
qua hàng triệu từ trong vài giờ.
Kết
hợp ngẫu nhiên các từ trong từ điển với nhau sẽ không cứu bạn khỏi cuộc tấn
công này nhưng có thể làm thời gian để bẻ khóa mật khẩu lâu hơn.
Từ
điển thường là kỹ thuật đầu tiên hacker sử dụng khi cố gắng bẻ khóa.
2. Hybird Attack:
Bằng cách kết hợp các từ trong từ điển
với các số và ký tự (ví dụ: p@$$w0rd123) có thể thoát khỏi dictionary attack
nhưng lại rơi vào một cuộc tấn công khác.
Hybrid
attack sử dụng kết hợp các từ trong từ điển với các số đứng trước và theo sau
chúng, thay thế các chữ cái bằng các số và ký tự đặc biệt.
3. Brute Force (tấn công dò mật khẩu hay vét cạn): Đây là kiểu tấn công mà
chúng ta sẽ “mò” tất cả các tổ hợp ký tự có thể là password cho đến khi có một
tổ hợp ký tự trùng khớp.
Brute
force là một trong những hình thức phổ biến nhất của password attack và dễ dàng
nhất để thực hiện. Brute force thường là biện pháp cuối cùng của hacker nếu các
kỹ thuật trước đó thất bại đơn giản vì đây là công cụ tốn nhiều thời gian nhất.
Brute force không phải là một quá trình nhanh chóng. Càng nhiều ký tự trong mật
khẩu, thời gian bẻ khóa càng lâu.Thường Brute Force chỉ dùng để "mò"
những password yếu, phổ biến, nhắm vào những người dùng thông thường.
Brute
force, hacker sử dụng chương trình máy tính để đăng nhập vào tài khoản của người
dùng với tất cả các kết hợp mật khẩu có thể. Các cuộc tấn công thường sẽ bắt đầu
bằng với các từ đơn giản, sau đó là các hỗn hợp số, chữ cái và các ký tự bàn
phím khác. Có các tập lệnh và ứng dụng được viết riêng cho mục đích này.
4. Traffic interception: Bằng nhiều
cách và phần mềm khác nhau, hacker nghe lén, chặn bắt các gói tin và phân tích
chúng nhằm có được các thông tin nhạy cảm. Ngay cả mật khẩu được mã hóa cũng có
thể được giải mã, tùy thuộc vào độ mạnh của phương thức mã hóa được sử dụng.
5. Man In the Middle: Trong kiểu tấn
công này, hacker không chỉ 'đứng giữa' và nghe ngóng những thông tin được truyền
trong mạng, chúng còn có thể gửi xen vào cũng như thay đổi luồng dữ liệu để kiểm
soát sâu hơn những thông tin được gửi nhận.
Các
mạng WiFi mở thường không được mã hóa. Với sự trợ giúp của phần mềm miễn phí và
có sẵn rộng rãi, hacker có thể dễ dàng theo dõi lưu lượng truy cập Internet của
bạn khi bạn lướt web trên WiFi công cộng.
Hacker
sẽ chặn lưu lượng giữa thiết bị của bạn và máy chủ. Mỗi trang bạn truy cập, tin
nhắn bạn gửi và mật khẩu bạn nhập sẽ chuyển thẳng đến hacker thay vì nhà cung cấp
WiFi hợp pháp. Không chỉ mật khẩu mà cả chi tiết thẻ tín dụng và thông tin nhạy
cảm khác cũng có thể bị đánh cắp theo cách này.
6. Social engineering attacks: Tấn công kỹ
nghệ xã hội sử dụng kiến thức và cách thức tiếp cận liên quan tới tâm lý học
hành vi, như giả mạo (Phishing / Spear phishing), khơi gợi tính tò mò hoặc tham
lam ( Baiting )... Social engineering khai thác dựa vào sự cả tin của con người.
+ Phishing
- Emails, văn bản... được gửi để đánh lừa người dùng cung cấp thông tin đăng nhập
của họ, nhấp vào liên kết cài đặt phần mềm độc hại hoặc truy cập website giả mạo.
+ Spear
phishing -Tương tự như phishing nhưng với các email/văn bản được thiết kế tốt
hơn, được tùy chỉnh dựa trên thông tin đã được thu thập về người dùng.
+ Baiting
- Hacker để lại USB hoặc các thiết bị khác bị nhiễm virut hoặc các phần mềm đôc
hại ở các địa điểm công cộng với hy vọng chúng sẽ được người dùng tái sử dụng.
+ Quid
quo pro - Hacker mạo danh ai đó, như nhân viên trợ giúp và tương tác với người
dùng sau đó yêu cầu lấy thông tin từ họ.
7. Rainbow Table
Hầu
hết các hệ thống hiện đại lưu trữ mật khẩu trong một hash. Hash sử dụng công thức
toán học để tạo ra một chuỗi ngẫu nhiên, khác hoàn toàn với chuỗi đầu vào. Nếu
một hacker nào đó truy cập vào database lưu trữ mật khẩu, thì họ sẽ có thể lấy
được mật khẩu được mã hóa dưới dạng hash, hacker không thể đọc được mật khẩu, họ
cũng sẽ không thể lạm dụng chúng.
Có
vẻ hay và an toàn đúng không? Không phải vậy hash có điểm yếu. Một chiến lược
đơn giản để tấn công là hash tất cả các từ trong từ điển và tham chiếu chéo
chúng với các mật khẩu được mã hóa. Nếu có một từ khớp, khả năng rất cao đó
chính là mật khẩu. Đây chính là hình thức rainbow table attack.
8. Credential
Stuffing
Các
password attack khác đều đề cập đến việc hacker chưa sở hữu mật khẩu của người
dùng. Tuy nhiên, với credential stuffing thì khác.
Trong
một credential stuffing attack, hacker sử dụng tên và mật khẩu bị đánh cắp của
một tài khoản trước đó rồi thử trên các tài khoản khác của người dùng.
Credential
stuffing nhằm vào xu hướng sử dụng chung mật khẩu cho nhiều tài khoản của người
dùng, nếu thành công thì thường đem lại hiệu quả rất lớn. Đây là lý do tại sao
việc sử dụng các mật khẩu khác nhau cho mỗi tài khoản và dịch vụ là rất quan trọng.
Trong trường hợp một trong số chúng bị xâm phạm và bị rò rỉ, rủi ro đối với bất
kỳ tài khoản nào khác sẽ được giảm thiểu.
Credential
stuffing attack có cách gọi khác là credential reuse attack.
9. Password Spraying
Khá
giống với hình thức brute force nhưng không được xem là brute force, password
spraying thử hàng ngàn có thể là hàng triệu tài khoản cùng một lúc với một vài
mật khẩu thường được sử dụng. Trong số đó nếu có một người dùng có mật khẩu yếu,
toàn bộ hệ thống có thể gặp rủi ro.
Brute
force tập trung vào một vài tài khoản. Ngược lại, password spraying sẽ mở rộng
các mục tiêu theo cấp số nhân. Do đó, nó giúp hacker tránh phương thức bảo mật
khóa tài khoản khi đăng nhập sai nhiều lần.
Password
spraying đặc biệt nguy hiểm đối với các cổng xác thực đăng nhập một lần.
10. Offline
Detection
Việc
thu thập thông tin người dùng từ máy tính bị vứt bỏ, thùng rác...; nghe lén khi
người dùng chia sẻ mật khẩu của họ với người khác bằng lời nói; đọc ghi chú kẹp
trên màn hình máy tính; lướt qua khi người dùng nhập mật khẩu... có thể giúp
hacker có được mật khẩu và thông tin đăng nhập người dùng.
11. Malware
Malware
khiến người dùng tải xuống hoặc vô tình bị lây nhiễm phần mềm độc hại từ các
chương trình có vẻ hợp pháp hóa ra là một cái bẫy. Các phần mềm độc hại này thường
được ẩn trong các ứng dụng giả mạo: trò chơi di động, ứng dụng thể dục... Chúng
thường hoạt động khá tốt, không có dấu hiệu nhận biết rõ ràng khiến người dùng
không nghi ngờ.
12. Key logger
Hacker
cài đặt phần mềm theo dõi tổ hợp phím của người dùng, cho phép hacker thu thập
không chỉ tên người dùng và mật khẩu cho tài khoản mà còn có website hoặc ứng dụng
mà người dùng đã đăng nhập. Kiểu tấn công này xảy ra sau khi cuộc malware
attack được thực hiện.
Key
logger attack cài đặt một chương trình trên thiết bị của người dùng để theo dõi
tất cả các lần nhấn phím của người dùng. Vì vậy, khi người dùng nhập tên người
dùng và mật khẩu của họ, hacker thu thập chúng và sử dụng.
Phương
thức này thường triển khai trong một cuộc tấn công hàng loạt nhắm vào toàn bộ tổ
chức, nhiều mật khẩu và thông tin đăng nhập của người dùng có thể được thu thập
để sử dụng sau.
III.
PASSWORD VÀ PASSWORD ATTACKS HIỆN NAY
Trong những thập kỷ qua, những
lập trình viên, người quản trị hệ thống, các nhà mật mã học, và đôi khi là cả
chính phủ, thông qua những chính sách cũng như giáo dục, luôn muốn người dùng
hiểu được sự quan trọng của bảo mật và lợi ích của một mật mã "tốt".
Tuy nhiên hầu hết người dùng đều đánh đổi sự bảo mật để đổi lấy sự tiện dụng.
Vì vậy, rất nhiều các cách xác
thực khác, như quét vân tay, mống mắt, nhận diện khuôn mặt...được tạo ra, tuy
nhiên không thể bao quát hết "tầm hoạt động" của password. Và cũng
như những phân tích ở trên, hiện nay password là không thể thay thế.
Hiện
nay, các chính sách bảo mật, các chính sách xác thực nói riêng và chính sách an
toàn thông tin nói chung được nâng cao. Ví dụ như những dịch vụ yêu cầu bảo mật
cao như đăng nhập tài khoản ngân hàng, password phải bảo đảm đủ độ phức tạp, nếu
user nhập password sai 5 lần, ngay lập tức user bị vô hiệu quá. Hay tính năng
xác thực 2 bước được rất nhiều dịch vụ khuyến khích (chứ không thể ép buộc)
user sử dụng.
Tuy
nhiên không phải nơi nào cũng có những chính sách như vậy, thậm chí có nơi dù đề
ra chính sách nhưng vì lỗi con người không tuân thủ chặt chẽ nên vô tình tạo ra
lỗ hổng, và có những dịch vụ thì gần như không có chính sách cụ thể về an toàn.
Ví dụ như việc đặt password Wifi, đặt password để truy nhập một Port nào đó
trên sever, hay đặt password cho một file .rar được nén...
Với
việc kết hợp các kiểu tấn công được nên trên, hay sử dụng những kiểu tấn công mới
khác, nếu password không đủ "tốt", người dùng không đủ tính táo thì
hoàn toàn có nguy cơ bị xâm phạm password, từ đó dẫn tới nhiều hậu quả khó lường.
How can you protect yourself?
Mật khẩu mạnh là sự bảo vệ đầu tiên chống lại
các password attack. Kết hợp các ký tự viết hoa và viết thường, số và ký tự đặc
biệt; tránh sử dụng các từ và cụm từ phổ biến; tránh các từ dành riêng cho
website (như tên của website); kiểm tra mật khẩu với từ điển các mật khẩu kém;
chúng nên được thay đổi thường xuyên và khác nhau cho mỗi tài khoản.
Giáo dục cũng rất quan trọng. Một trong những
biện pháp phòng vệ tốt nhất là dạy cho người dùng cách nhận biết và ngăn chặn
các kỹ thuật mà hacker sử dụng. Tuy nhiên mật khẩu mạnh mẽ và giáo dục thực sự
chưa đủ. Sức mạnh tính toán cho phép hacker chạy các chương trình tinh vi để có
thể thử số lượng lớn thông tin đăng nhập, nên áp dụng thêm các công cụ như:
single sign-on (SSO), multi-factor authentication (MFA).
Tham khảo các quy tắc cơ bản dưới đây để giữ
an toàn.
Sử dụng ứng dụng tạo mật khẩu ngẫu nhiên
Dictionary attack là một kỹ thuật password
attack phổ biến và hiệu quả. Do con người không dễ dàng ghi nhớ các chuỗi ký tự
ngẫu nhiên.
Khi bạn tạo một loạt các mật khẩu mặc dù có
đảm bảo về độ dài, kết hợp các ký tự khác nhau nhưng chúng lại thường được tạo
theo một quy luật nhất định, điều này thật nguy hiểm nếu hacker tìm ra nó.
Thay vì làm thủ công bạn có thể nhờ công
nghệ, chúng sẽ thay bạn làm tất cả. Có rất nhiều ứng dụng tạo mật khẩu ngẫu
nhiên miễn phí, chỉ cần chọn độ dài của mật khẩu hay bất kỳ yêu cầu đặc biệt
nào đó, một mật khẩu mạnh mẽ sẽ được tạo ra.
Hạn chế sử dụng lại mật khẩu
Thông tin đăng nhập của người dùng là mục
tiêu hàng đầu của hacker. Vì họ biết rất rõ rằng người dùng có thể tái chế mật
khẩu và tệ hơn là chỉ sử dụng một mật khẩu cho tất cả các tài khoản.
Hãy làm theo lời khuyên phía trên trước và
bây giờ bạn đã có một ứng dụng tạo mật khẩu ngẫu nhiên, lúc này sẽ không có lý
do gì để bạn dùng một mật khẩu duy nhất. Ứng dụng tạo mật khẩu ngẫu nhiên sẽ
giúp bạn tạo thật nhiều mật khẩu mạnh mẽ và duy nhất.
Dùng ứng dụng quản lý mật khẩu
Một người trung bình dùng 20 đến 40 mật khẩu.
Rất khó khăn để có thể nhớ hàng chục mật khẩu khác nhau, nếu chúng rất dài và
vô nghĩa thì việc này lại càng khó. Bạn cần một ứng dụng quản lý mật khẩu.
Ứng dụng quản lý mật khẩu là một chương
trình lưu giữ tất cả thông tin đăng nhập của bạn. Bạn chỉ cần nhớ là master key
để mở khóa các mật khẩu của bạn.
Bật xác thực hai yếu tố
Mật khẩu dễ bị tổn thương đối với các
phương thức password attack và có thể trở thành nạn nhân của một cuộc tấn công.
Cách tốt nhất để giữ an toàn là thêm một lớp
bảo mật bổ sung - xác thực đa yếu tố (MFA). Xác thực đa yếu tố là sự kết hợp của
mật khẩu và điện thoại hoặc email của bạn.
Đặt tin nhắn SMS làm bước xác thực thứ hai
được sử dụng phổ biến nhất.
Xác thực đa yếu tố làm giảm hiệu quả của
các phương thức password attack. Nó không hoàn toàn ngăn chặn được tất cả các
cuộc tấn công, nhưng nó ngăn chặn được các cuộc tấn công hàng loạt.
Ngay cả khi mật khẩu của một cá nhân bị
đánh cắp, hacker sẽ phải đối mặt với một thách thức khó khăn hơn nhiều trong việc
vượt qua lớp xác thực thứ 2 để sở hữu quyền truy cập của người dùng. Đồng thời
lúc này người dùng cũng nhận được cảnh báo tài khoản có dấu hiệu bị xâm phạm.
Sử dụng VPN khi kết nối với WiFi công cộng
Hạn chế sử dụng WiFi công cộng. Tuy nhiên,
nếu dùng thì bạn nên tải VPN về thiết bị của bạn và dùng chúng khi truy cập
Internet. VPN sẽ mã hóa lưu lượng truy cập Internet của bạn để các bên thứ ba
không thể theo dõi các hoạt động trực tuyến của bạn, mật khẩu và dữ liệu cá
nhân của bạn sẽ vẫn an toàn.
Tham
khảo: Internet, viblo
0 comments:
Đăng nhận xét